Password manager: cosa sono, i migliori del 2021, come usarli e perché

Password manager, probabilmente ne hai già sentito parlare. Ma noi ti spieghiamo come usarli al meglio e quali sono i migliori del 2021 da installare subito per mettere al sicuro le credenziali di accesso ai vari servizi che utilizziamo quotidianamente.

Cos’è e come funziona un password manager?

Cosa sono? Sono programmi e app che archiviano in modo sicuro e crittografato le credenziali (username e password) di accesso ai servizi web (e non solo) in una sorta di cassaforte (“Vault”) virtuale, rendendola disponibile all’utente quando ne avrà bisogno. I migliori PM sono “multipiattaforma”, cioè sono disponibili per i sistemi Mac, Windows, iOS e Android. Questo permette (ma non è un obbligo) di sincronizzare attraverso il cloud (p.es. Dropbox) le password su ogni dispositivo su cui sono installati (computer, laptop o smartphone che sia). Sono protetti da una Master Password, che serve per aprirli e diventa perciò l’unica password che occorre ricordare. Siamo ancora lontani, infatti, da un mondo senza password e dovremo quindi continuare a “convivere” con le password per anni. Tali strumenti rappresentano le chiavi d’accesso ai dati aziendali, quindi conviene farne un uso corretto. Questo si scontra, oggi, con la numerosità di password che ognuno di noi deve gestire nella propria vita digitale: ciò crea le condizioni per uno dei più frequenti e gravi errori che l’utente è portato a commettere: l’utilizzo della stessa password per account diversi. È una pericolosa abitudine che permette agli attaccanti di utilizzare la tecnica del “riempimento delle credenziali”: in pratica, vengono provati username/password (raccolti nei database di credenziali rubate, facilmente reperibili nel Dark Web) per accedere in modo fraudolento agli account degli utenti.

La prima installazione dei password manager

La prima installazione di un password manager può risultare faticosa, perché dovremo popolarli caricando manualmente tutte le nostre credenziali, ma poi ne scopriremo l’utilità e non ne potremo farne a meno. In alcuni casi sono presenti anche funzioni di esportazione e importazione del database delle password, utili soprattutto se si intende migrare da un PM ad un altro. La funzione di Esportazione delle password è presente anche nel browser Chrome: dal menu Impostazioni/Password/Password salvate è possibile usare il comando Esporta password per generare un file .csv che quasi tutti i password manager sono in grado di importare. La medesima funzione è disponibile anche in Firefox.

I migliori password manager gratuiti

KeePass

KeePass è sicuramente il PM gratuito più diffuso. Tecnicamente valido, ma con una grafica decisamente povera.

Dalla pagina di download si possono scaricare le versioni ufficiali per Windows (sia quella da installare che quella “Portable”). Nella stessa pagina si trovano le versioni non ufficiali per le altre piattaforme: macOS, Linux, Android, iOS, persino per Windows 10 Mobile e Blackberry. Trattandosi di versioni “Unofficial”, ce ne sono diverse per ogni piattaforma. Per l’utente può essere difficile valutare quale scegliere. Per avere il prodotto completamente funzionante, è poi necessario scaricare a parte il pacchetto con la lingua scelta ed i plugin con le funzioni aggiuntive (per esempio indispensabile quello per avere l’auto riempimento, che sui PM a pagamento è presente nativamente). Un prodotto gratuito, ma il cui utilizzo può risultare ostico per un utente non particolarmente evoluto.

PRO: gratuita; open source; molte opzioni di personalizzazione, grazie ai plugin aggiuntivi open souce; possibilità di memorizzare i dati sul proprio computer (in alternativa al cloud).
CONTRO: grafica poco curata; installazione poco intuitiva, soprattutto per i plugin aggiuntivi; compilazione automatica dei moduli non è di default, ma deve essere aggiunta con plugin di terze parti.

Bitwarden

Bitwarden è un’altro PM gratuito open source. Meno noto di KeePass, ma sicuramente migliore sul piano estetico e nella facilità d’uso. Disponibile per tutte le principali piattaforme, integra il maggior numero di estensioni per qualsiasi browser: oltre ai più noti, esiste l’estensione anche per i browser Opera, Brave, Tor, Vivaldi. Permette di salvare la propria cassaforte delle password in cloud e di sincronizzarla tra i vari dispositivi.

PRO: gratuita, comunque economica; grafica abbastanza curata; facilità d’uso; supporta autenticazione a due fattori; genera codici TOTP per i siti che supportano 2FA; codice sorgente pubblico.
CONTRO: supporto per iOS piuttosto limitato

I password manager integrati nei browser

Viene spesso posta la domanda: “È sicuro salvare le proprie password nei browser?”. Fino a qualche tempo fa, la risposta era molto chiara: “Non è sicuro”. Negli ultimi tempi in realtà i browser hanno fatto molti passi avanti sul piano della sicurezza, riducendo – ma non azzerando – il divario rispetto ai migliori PM.

Safari per MacOS

Le password possono essere archiviate all’interno del Portachiavi iCloud, che permette di condividere gli account e le password salvati in tutti i dispositivi che abbiamo lo stesso ID Apple. Il Portachiavi iCloud (Keychain) è effettivamente un password manager perché le password in esso salvate sono protette da crittografia, Apple indica genericamente l’uso di “Codifica minima AES a 128 bit” (quindi crittografia simmetrica) e di “codifica end-to-end” (senza ulteriori dettagli). Si può considerare ragionevolmente sicuro (non a livello dei migliori PM), ma sicuramente molto povero di funzionalità. In pratica archivia esclusivamente: username, password e URL. Non permette di aggiungere altre voci, come è invece possibile nei PM.

Google Chrome

In modo simile a Safari, permette di salvare le password su Chrome sotto il proprio Account Google/Android e sincronizzarle su tutti i dispositivi connessi a quell’account. Le password così salvate possono essere gestite dal Gestore delle password” di Google. Sulle password salvate, attraverso il menù “Controlla password” viene eseguito un controllo per verificare se: sono state compromesse nell’ambito di una violazione dei dati; sono potenzialmente inefficaci e facili da indovinare. L’accesso alle password salvate in Chrome richiede esclusivamente la conoscenza della password principale del computer, non è richiesta una password dedicata. Questo rappresenta un elemento che rende meno sicuro Chrome rispetto ad un PM che invece va sbloccato con la Master Password. Inoltre, come per Safari, anche in Chrome i dati che possono essere memorizzati sono quelli strettamente necessari, non è possibile aggiungerne altri opzionali.

Mozilla Firefox

In Firefox è stato creato un gestore delle password denominato “Firefox Lockwise”, che è stato introdotto nel maggio 2019. Da Firefox versione 70 (oggi è arrivato alla 91), Lockwise è integrato nel browser ed esiste anche come applicazione per iOS ed Android. È a tutti gli effetti un password manager, senz’altro più avanzato rispetto a quello di Chrome, meno completo rispetto ai PM precedentemente citati. Dichiara di utilizzare la crittografia a 256 bit (quindi in linea con i PM più qualificati) ed inoltre permette (opzionalmente) di impostare una “password principale”, in pratica una master password differente da quella principale del computer. Questa password principale viene richiesta per visualizzare e/o modificare le password salvate in Lockwise. A partire dalla versione di Firefox 76, viene anche eseguito un controllo su password potenzialmente vulnerabili che siano state salvate in Lockwise. Un’ulteriore funzionalità presente in Firefox Lockwise permette di verificare anche se il proprio indirizzo email è stato coinvolto in una violazione di dati: questo servizio si chiama Firefox Monitor ed anche in questo caso utilizza la banca dati sui data breach forniti da Have I Been Pwned.

 

Fonte: CyberSecurity360